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摘 要 : 针对 互联 网 服务 器 的 攻击 行为 常 利 用 程序 存在 的 未 知 漏洞 展开 ， 且 手法 不 断 更 新 ， 这 使 得 防御 技术 的 更 新 往 
往 长 时 间 滞 后 于 攻击 行为 的 发 生 。 提 出 了 一 种 动静 结合 的 网 络 数据 检测 方法 ， 该 方法 在 传统 静态 分 析 的 基础 上 优化 了 
伶 测 算法 ， 同 时 引入 了 动态 模拟 运行 的 检测 方式 。 通 过 动静 结合 的 双重 检测 提高 了 恶意 代码 的 识别 率 ， 并 能 够 在 代码 
传 入 实际 被 保护 程序 运行 前 检测 并 确定 其 恶意 性 ， 实 现 防御 系统 策略 的 快速 自动 化 更 新 ， 缩 短 了 策略 更 新 时 间 ， 提 高 
了 防御 效果 。 结 合 该 技术 实现 了 一 个 N-A detecting (网 络 数据 检测 ) 防御 系统 ， 实 验证 明 ， 该 系统 能 够 很 好 地 防范 针 
对 网 络 程序 的 恶意 代码 攻击 行为 。 
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Abstract: The attacks against Internet servers usually use unexplored vulnerabilities that exist in the program or the attacks are 
constantly being updated. All of these make the defensive measures often lag behind the attack. In order to change this problem, 
this paper presented a static and dynamic network data detection technology, which optimized the detection algorithm on the 
basic of traditional static analysis, and introduced the dynamic simulation to improve the rate of malicious data detection. It 
could detect malicious data before it introduced into the protection program and realized automatic update of defense system 
strategy and optimized the defense effect. This paper combined the technology to implement an N-A (network data detection) 


defense system. According to the the experiment result, this system can be used to prevent bad code attacks against network 


programs. 
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向 客户 端 提供 服务 。 因 此 ， 针 对 网 络 程序 的 安全 研究 也 分 为 J 
两 个 方向 四， 一 个 方向 是 针对 程序 自身 缺陷 的 克服 ， 即 通过 软 
随 着 互联 网 技术 的 不 断 发 展 ， 针 对 互联 网 安全 问题 的 研究 牛 补丁 的 形式 对 软件 本 身 的 已 知 漏洞 进行 弥补 ， 从 而 消除 软件 
也 变 得 日 益 重 要 ， 而 作为 用 户 使 用 互联 网 技术 的 重要 载体 ， 网 “两 端 存 在 的 脆弱 点 ， 男 一 个 方向 是 对 到 达 服 务 器 端的 代码 数据 
络 程序 安全 也 成 为 了 计算 机 网 络 安全 的 一 个 重要 研究 方向 0 0。 的 检测 ， 即 通过 在 本 地 设置 检测 过 滤 策 略 的 方式 ， 对 软件 接收 
于 互联 网 的 开放 性 ， 针 对 网 络 程序 缺陷 的 攻击 行为 一 直 是 互 到 的 网 络 数据 进行 识别 ， 当 判定 接收 到 的 数据 会 导致 一 些 非法 
居 网 安全 的 一 个 重要 隐患 ， 特 别 是 网 络 程序 的 服务 器 端 存储 的 操作 时 则 对 其 进行 过 滤 。 这 两 种 思路 的 缘 合 运用 ， 对 网 络 程序 
大 量 敏感 数据 。 恶 意 攻击 者 常 以 网 络 程序 软件 为 跳板 ， 来 达到 ”安全 提供 了 巨大 支撑 。 研 究 证 明 趾 ， 两 者 的 结合 能 够 有 效 克制 
攻击 后 台数 据 库 或 者 下 载 敏感 数据 的 目的 。 大 部 分 来 自 互 联网 的 针对 网 络 程序 的 攻击 。 但 这 两 种 思路 均 存 

网 络 程序 一 般 指 基于 网 络 数据 传输 或 者 网 络 通信 提供 服务 ”在 着 一 定 的 缺陷 。 首 先 ， 针 对 自身 缺陷 的 弥补 策略 往往 存在 滞 
的 二 进 制 应 用 程序 。 与 一 般 的 单 端 程序 软件 不 同 ， 网 络 程序 后 性 ， 研 究 者 对 于 软件 程序 本 身 的 缺陷 测试 集中 于 开发 阶段 ， 
服务 器 端 和 客户 端 两 部 分 组 成 ， 通 过 双 端 软件 间 的 数据 通信 、 而 在 软件 发 布 后 ， 如 果 攻 击 者 通过 软件 分 析 的 方式 ， 挖 掘 到 程 
文件 传输 为 客户 提供 服务 。 当 客户 端 发 出 请 求 数据 和 服务 器 端 序 自身 存在 的 未 知 漏洞 并 利用 该 缺陷 对 程序 进行 攻击 ， 则 安全 
建立 连接 后 ， 服 务 器 端 会 通过 物理 链 路 以 网 络 流量 数据 的 形式 员 往 往 很 难 在 短 时 间 内 发 现 该 漏洞 并 加 以 弥补 。 例 如 比较 经 
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录用 稿 


的 马克 兰 电 站 攻击 事件 ， 就 是 由 于 攻击 者 掌握 了 电站 服务 程 
序 的 未 知 漏洞 ， 利 用 U 盘 摆 渡 的 方式 对 程序 展开 攻击 ， 才 造成 
了 较 大 的 破坏 效果 。 其 次 ， 服 务 器 程序 运行 过 程 中 的 安全 防 种 
对 安全 人 员 的 技术 水 平 依赖 较 大 ， 针 对 可 疑 数 据 的 识别 常 通 i 
人 工 静 态 分 析 的 方式 ， 而 无 法 对 数据 在 程序 中 动态 运行 的 效 引 
进行 自动 化 判定 ， 这 就 导致 了 现 阶 段 某 些 攻击 手段 通过 过 程 行 
为 隐藏 的 方式 对 自身 效果 进行 隐藏 ， 从 而 绕 过 防御 系统 实现 : 
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析 过 程 造成 的 延迟 。 文 献 [15] 设 计 了 一 套 下 一 代 防 火 墙 系统 , K 


现 了 对 网 络 流量 的 识别 与 控制 ， 通 过 采用 多 种 检测 技术 相 结 合 


的 方法 


是 执行 
态 


提高 了 协议 识 


别 的 准确 率 ， 并 依托 系统 的 架构 设计 出 流 


量 控制 方案 ， 提 出 了 针对 流量 控制 的 限 流 算法 ， 实 现 了 对 具体 


控制 作用 。 直 


接 在 防火 墙 节 点 运行 网 络 数据 检测 的 好 处 


了 开销 较 小 ， 仅 对 网 络 数据 部 分 进行 检测 09， 但 与 其 他 静 


态 分 析 技 术 存 在 的 次 端 类 似 ， 通 过 网 络 数 据 比 对 、 校 验 、 过 渡 


击 。 例 如 2017 年 发 生 的 针对 国内 某 论坛 的 攻击 行为 ， 经 调查 ， 


等 流 


攻击 者 就 是 将 恶意 代码 隐藏 在 了 正常 的 文件 中 上 传 到 论坛 服务 
器 ， 从 而 实现 攻击 目的 。 

本 文 主要 着 眼 于 网 络 程序 安全 中 恶意 代码 检测 技术 的 改进 ， 
对 该 技术 现 阶段 的 发 展 情况 进行 了 研究 ， 通 过 对 该 技术 自身 缺 


库 的 依 
的 更 新 


旦 实现 的 网 络 数 


赖 较 大 ， 后 期 
， 对 研究 者 的 


ZEr 


静态 检 


陷 的 分 析 ， 提 出 了 一 种 动静 结合 的 检测 方法 ， 在 该 方法 的 基础 
上 形成 了 一 个 检测 系统 ， 并 通过 实验 验证 了 系统 的 可 行 性 、 有 
效 性 、 稳 定性 。 


1 ”相关 研究 进展 


恶意 代码 检测 是 网 络 程序 在 实际 运行 过 程 中 的 一 个 重要 防 
护 手段 I， 现 阶段 代码 检测 的 展开 主要 依托 于 网 络 架构 中 防火 
省 和 用 户 服务 器 两 个 节点 实现 2。 运行 于 服务 器 端的 检测 系统 
能 够 在 检测 完成 后 实现 合法 代码 的 高 效 传输 ， 且 架构 简单 ， 无 
须 额 外 的 复杂 硬件 支持 ， 但 由 于 其 本 身 和 真实 服务 器 程序 运行 
于 同一 节点 ， 容 易 被 攻击 者 借助 服务 器 硬件 漏洞 实现 绕 过 中 。 
防火 墙 作 为 内 外 网 分 割 的 界限 在 运行 上 更 具 优势 09， 其 本 身 在 
进行 检测 工作 的 同时 ， 能 最 大 程度 上 减少 对 服务 器 节点 稳定 性 
的 破坏 ,但 作为 内 网 面 对 外 网 的 直接 接口 , 随 着 数据 流量 的 增 大 
易 造成 防火 墙 负担 过 重 。 文献 [11] 明 确 了 防火 墙 技术 的 优势 , 以 
及 跨 平台 的 优良 性 能 ， 并 基于 此 提出 了 在 传统 防火 墙 的 基础 上 
实施 算法 更 新 和 最 优 策 略 集 选 择 的 新 思路 。 
现 有 的 静态 检测 技术 主要 通过 对 恶意 代码 的 特征 进行 预先 
设置 和 存储 ， 利 用 恶意 代码 匹配 算法 对 网 络 数据 包 中 的 数据 部 


分 进行 分 析 检测 ， 并 对 确定 为 恶意 代码 的 数据 内 容 进 行 过 滤 [。 


但 此 类 技术 对 恶意 代码 的 检测 常 基于 固定 策略 ， 而 对 采取 新 攻 
击 手段 或 针对 未 知 漏洞 的 恶意 代码 的 抵抗 性 往往 较 差 。 针 对 该 
问题 ， 众 多 厂商 通常 会 对 自身 防火 墙 的 防御 库 进行 更 新 ， 但 该 
更 新 通常 是 在 漏洞 爆 出 并 对 用 户 造成 一 定 损失 后 才 会 进行 ， 存 
在 一 定 滞后 性 , 且 对 流量 的 检测 仅 基于 静态 分 析 和 黑 名 单 预 置 ， 
针对 已 知 漏洞 后 期 出 现 的 新 攻击 手段 防御 较 差 。 目 前 ， 行 业内 
针对 网 络 程序 运行 安全 已 经 有 了 一 些 比较 成 熟 的 防御 系统 。 

针对 数据 监测 在 网 络 程序 安全 防护 过 程 中 的 滞后 性 ， 许 多 
研究 者 针对 动态 检测 方式 进行 了 研究 。 文 献 [13] 则 提出 了 基 了 
行为 预测 的 防御 策略 ， 通 过 对 本 地 高 危 网 络 程序 和 高 危 函 数 的 
监控 ， 预 测 攻击 者 可 能 实施 攻击 的 行为 ， 从 而 在 一 定 程度 上 克 
服 了 滞后 性 。 文 献 [14] 针 对 防火 墙 设计 提出 了 分 层 比 对 的 方式 ， 
即 针对 静态 分 析 过 程 针对 性 不 强 的 缺点 ， 将 不 同类 别 或 者 协议 
的 网 络 数据 分 组 进行 动态 检测 来 提高 针对 性 ， 同 时 降低 静态 分 
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于 以 上 研究 ， 


据 静 态 检测 ， 对 分 析 策 略 和 恶意 代码 信息 
针对 新 缺陷 、 新 攻击 手段 的 防御 需要 人 工 
要 求 较 高 ， 且 存在 滞后 性 。 
本 文 首先 对 静态 分 析 技 术 进 行 优化 ， 提 高 


测 效率 和 准确 
态 运 行 检 测 ， 


E; 之 后 采用 qemu 虚拟 机 技术 搭建 环境 
该 技术 通过 命令 行 控制 台 实 现 对 操作 系统 


控制 ， 仅 对 


标 程序 在 系统 下 的 运行 提供 支撑 ， 减 少 了 


界面 等 其 他 非 


必须 程序 运行 带 来 的 系统 开销 ,是 一 种 < 轻 


量 级 ”的 虚拟 机 技术 。 通 过 两 者 结合 提出 了 一 种 静态 分 析 和 动 
态 运行 相 结 合 的 网 络 数据 检测 方法 ， 并 在 该 方法 的 基础 上 形成 
了 一 个 基于 该 技术 的 网 络 程序 安全 防御 系统 。 通 过 模拟 攻击 行 


为 的 方式 ， 对 该 系统 的 防御 效果 进行 了 测试 。 


2 ”动静 结合 的 网 络 数据 监测 技术 


2.1 数据 监控 和 提取 
数据 监控 技术 会 根据 lua 脚本 中 的 相关 配置 信息 ， 对 接收 


到 的 数 


步 进 行 : a) 在 接收 到 网 络 中 其 他 主机 发 来 的 底层 数据 后 ， 根 据 


据 进 行 提取 、 


配置 信 
网 驱动 


会 根据 数据 帧 


整理 和 拼接 。 数 据 的 提取 过 程 主要 分 为 三 


息 截取 目标 数据 帧 ， 并 交付 给 以 太 网 驱动 ，b) 本 地 以 太 


首部 中 的 type 字段 (RFC 894) 确定 该 数 


据 帧 的 协议 类 型 IP、ARP 或 RARP)， 并 提取 有 效 载荷 部 分 交 


付 给 相应 的 协议 ，c) 按 照相 应 的 协议 向 高 层 解析 ， 直 到 将 真实 


数据 部 分 提取 出 来 。 图 1 是 该 过 程 的 示意 图 。 
检测 模块 
ICMP. IGMP TCP UDP 
ARP 
b « [ 
以 太 网 驱动 
数据 帧 
图 1 实际 数据 提取 过 程 

数据 处 理 模 块 会 自动 到 指定 路 径 下 的 数据 存储 文件 中 读 取 
流量 监控 模块 提取 出 的 数据 信息 ， 对 不 同 数据 包 所 采取 的 协议 
类 型 进行 判定 ， 再 按照 该 协议 RFC 文档 57 的 指导 提取 数据 包 
的 详细 信息 (如 对 实际 数据 包 的 num 和 ID 标志 位 进行 读 取 )， 
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并 对 数据 通信 数据 进行 重组 ， 最 终 将 底层 数据 流 组 合 为 完整 的 的 长 度 超过 指定 上 限 ， 则 将 被 判定 为 恶意 溢出 数据 ， 这 样 对 一 


数据 信息 。 代 码 1 为 该 功能 部 分 的 代码 。 部 分 攻击 流量 实现 粗 过 滤 。 


代码 1 数据 提取 重组 部 分 WB ze t x50) JD: 75-92 时 间 -29ms TIL-54 


while (i<len(string_data)) :# 循 环 解析 各 个 数据 包 包头 、 数 据 包 数 据 
# 数 据 包 头 各 个 字段 
pcap packet header[' GMTtime’] = string_data[i:i+4] 
pcap_packet_header[ MicroTime'] = string data[it4:it8 
pcap packet header['caplen'] = string data[i*8: Dian 
x 


pcap packet header [ len’ ] = string_data[i+12:i+16]# 数 据 包 真 实 长 度 
# 求 出 此 包 的 至 长 len 
packet len = struct.unpack( IT ,pcap_packet_header[ len’ ]) [0] 
# 写 入 此 包 数 据 EM Bi ! ~- [fy i» 
packet data. append(string data[i*l6:i*l6*packet len]) DW AE $ RA ` mto 时 国 = E29 
i = i+l6+ packet len n — 
packet_rumt=1# 数 据 包 个 数 
PENRE AS A resul t.txt z : 
= open( /home/dzk/Desktop/1/13. pcap' ) Z H 时 | 本 =32ms 
sc ap = dpkt.pcap. nerd a 
for (ts,buf) in pc - H 3 时 | 本 =3tms 
e “dykt. ethernet, Ethernet (buf) z 自 ts 时 | 本 =34ms 
= ip. dat 过 : - s 
for i im tago Castet en): iE 时 间 -33ms 
if (eth. type !Z 2048): B io 时 | 国 =32ms T 
nt N 
if tcp. S iut .name ”==“TCP" :#__class__ 获 得 已 知 对 象 的 类 ， 目 s E:T[B] -32ms 
# 先 与 每 一 区 的 包头 zÉ 时 | 团 =32ms 
ftxt. write 这 是 第 "+str i)" 包 歼 据 的 包头 和 数据 : “+ \n) : B . E 
for key in l’ ame s MicroTime X ' caplen" " d nl [rey wr) - H E. 时 | 本 =33ms 
ftxt.write eyt : “二 pcap. packet ade eyl)” 
Et w repr (pcap_packet_header n A 时 间 =33ms 


igi 
ftxt.write( 此 包 的 数据 内 容 ” arpe packet: data[i])+ wn) 
ftxt. write ( 一 共有 "+str(packet_rum)+ 忆 数 据 n) 


图 2 ”网络 延迟 


通过 实验 证 明了 该 步骤 的 必要 性 。 因 为 现 阶段 针对 网 络 程 

序 的 一 种 重要 的 攻击 隐藏 手段 就 是 将 恶意 代码 分 割 为 大 小 不 一 第 二 阶段 利用 改进 的 KMP 算法 对 经 过 第 一 阶段 粗 过 滤 的 
的 数据 段 并 分 别 嵌 入 到 数据 包 中 ， 如 果 未 分 割 后 的 同 源 数据 包 ”数据 进行 检测 。 代 码 2 为 该 算法 的 部 分 代码 。 在 这 一 阶段 ， 根 
进行 重组 和 统一 匹配 ， 则 针对 单一 数据 包 内 容 的 静态 分 析 手 段 。 据 本 地 记录 的 规则 截取 被 检测 数据 所 有 的 可 疑 数据 段 ， 然 后 将 
将 无 法 识别 出 拆 分 后 的 恶意 代码 。 在 实验 过 程 中 ， 笔 者 将 一 段 。” 这 些 可 疑 数 据 段 做 笛 卡 尔 积 构造 出 超 和 矩形， 根据 不 同 超 和 矩形 的 
溢出 代码 分 割 成 十 段 长 短 不 一 的 数据 字符 串 ， 并 杠 入 十 个 连续 。 ”类别 ， 再 同 规则 本 身 进行 比较 ， 这 样 ， 就 将 一 个 长 数据 字符 串 
数据 包 中 ， 现 有 的 单一 流量 过 滤 策 略 对 其 并 未 实现 过 滤 ， 从 而 ”比较 的 过 程 分 解 为 了 同时 进行 的 几 部 分 ， 从 而 提高 了 在 检测 时 


在 一 定 程度 上 造成 了 防御 系统 的 失效 。 间 上 的 效率 。 由 于 算法 在 一 开始 做 笛 卡 尔 积 运算 时 会 占用 较 大 
2.2 静态 分 析 检 测 的 额外 存储 空间 ， 所 以 随 着 检测 规则 库 的 增 大 ， 这 种 算法 所 带 


静态 分 析 检 测 主要 依托 于 数据 自动 化 检测 技术 ， 对 客户 妆 来 的 空间 开销 也 会 增 大 。 针 对 该 问题 作者 在 目前 研究 中 还 未 发 
发 送 到 本 地 服务 器 端的 一 段 完 整数 据 内 容 进行 检测 。 该 技术 检 ，” 现 较 好 的 解决 办 法 ， 这 也 是 下 一 步 的 研究 方向 。 
测 准确 率 的 提升 存在 一 定 瓶 颈 U3， 这 主要 是 由 于 检测 细致 度 的 代码 2 改进 的 KMP 算法 比 对 代码 
提高 会 导致 检测 时 间 的 延长 ， 从 而 引起 本 地 服务 器 程序 接收 合 e 


Ei 


三 


法 数据 的 时 延 变 长 。 不 同 研究 中 针对 该 问题 的 克服 主要 通过 检 void match(string s, string t, int a[]) 
测算 法 的 改进 来 实现 ， 即 数据 匹配 算法 时 间 复 杂 度 的 降低 。 为 { 

提高 分 析 效 率 ， 本 文 在 改进 检测 算法 的 基础 上 ， 将 静态 分 析 检 nes[0]; 

测 过 程 划分 为 快速 检测 和 算法 比 对 两 个 阶段 ， 如 图 2 Br. ER m-t[0]; 


2 a) 为 不 经 检测 的 数据 接收 延迟 ，(Gb) 为 加 入 粗 测 技术 的 两 ff(t，f);// 求 出 被 检测 代码 中 各 个 字符 的 前 
段 式 检测 。 可 以 看 出 ， 对 于 数据 接收 延迟 的 影响 控制 在 了 “+3 // 组 函数 ff(x) 
ms/ 单数 据 字符 串 ” 之 内 。 d=6;// 该 变量 用 来 记录 匹配 成 功 的 字符 串 长 


通过 信息 收集 的 方式 ， 在 开发 过 程 中 已 在 系统 数据 库 中 预 // 度 

先 设置 了 一 定数 量 的 恶意 攻击 代码 ， 这 些 恶 意 代码 已 经 在 互联 q-e 

网 上 出 现 并 造成 了 破坏 。 根 据 不 同 恶 意 代码 的 运行 效果 建立 了 for(i=1;i<=n; i++) 

三 个 破坏 性 效果 分 类 列表 ， 分 别 是 导致 系统 骨 溃 数据 列表 、 任 { 

意 内 存 读 取 列 表 、 任 意 内 存 写 入 列表 。 该 环节 的 输入 接口 接收 while(q>9&&t[q+1]1=s[i]) 
得 到 上 一 模块 处 理 后 的 数据 ， 输 出 接口 输出 对 该 数据 的 判断 结 q=f[q]; 

果 。 if(t[q+1]==s[i]) 


第 一 阶段 进行 快速 比 对 。 该 过 程 基 于 特征 字符 定位 和 字符 q=q+1; 
串 匹 配 , 针对 攻击 shellcode 数据 中 常用 的 填充 字符 和 跳 转 指 令 if(q==m) 
进行 匹配 查找 。 例 如 针对 攻击 者 常 在 恶意 代码 中 大 量 填 充 空 字 {d=d+1; a[d]-i-m«1;) 
节 达 到 溢出 效果 的 习惯 。 在 快速 对 比 阶段 ， 如 果 连 续 重 复 字 节 ) 
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根据 匹配 结果 的 不 同 分 为 两 种 处 理 方式 ; 

引 当 发 现 被 测 数据 与 数据 库 中 某 一 攻击 数据 相 匹配 ， 则 判 
断 为 恶意 代码 ， 系 统 向 管理 员 提 交 检 测报 告 。 

b) 当 未 发 现 匹 配 或 匹配 相似 度 较 小 ， 则 将 该 数据 自动 提交 
给 动态 运行 检测 模块 进行 执行 检测 。 
2.3 动态 分 析 检 测 

本 文 在 动态 分 析 检 测 过 程 中 采用 了 “类 沙 箱 技术 ” 通 
建 类 似 被 保护 服务 器 的 模拟 环境 ， 将 可 疑 数据 导入 该 环境 下 运 
行 ， 并 监控 处 理 效果 ， 从 而 实现 了 恶意 代码 的 无 危害 运行 。 


PN BER o. 模拟 测试 
| 得 测 试 软 件 | 一 rcd (ama o INA 
| Y | 待 测试 软件 
(a) (b) 
图 3 ”过程 对 比 
如 图 3 Ca) 所 示 ， 传统 沙 箱 技术 的 思想 是 将 待 测试 软件 传 


入 虚拟 环境 下 运行 ， 这 样 所 有 操作 都 是 虚拟 的 ， 在 程序 运行 过 
程 中 ， 真 实 的 文件 和 注册 表 不 会 被 改动 ， 从 而 确保 可 疑 程序 无 
法 对 系统 关键 部 位 进行 改动 而 破坏 系统 ， 如 图 3 (b) 所 示 ， 本 
文采 用 的 动态 运行 分 析 过 程 是 建立 在 已 搭建 好 的 qemu 虚拟 机 


环境 下 ， 本 地 服务 器 程序 的 副本 已 经 运行 在 该 虚拟 环境 下 ， 每 


IM 


次 接收 到 网 络 上 发 送 来 的 数据 后 ， 系 统 只 是 将 数据 传 入 该 虚拟 
化 环境 中 ， 输 入 给 被 保护 程序 的 副本 并 执行 。 


(e64.6dd): Integer divide-by-zero - code c0000094 (first chance) 
First chance exceptions are reported before any exception handling 
This exception nay be expected end handled, 

ax" UUUU = Ü UUUUUUU edx-Ü 


CS-UUIB 一 ss ES s0035 
fex WARNING. Unable to sorify Tohesksun far SER test exe 
SEH_testltest+0x7c 

0040139c f7bdlcfffiff idiv 
0:000» g 

(e64.6d4): Access violation - code c0000005 (first chance) 

First chance exceptions are reported before any exception handling 


eax,dword ptr [ebp-ÜE4h] ss:0023:0012fd3c-00000000 


This i m be gaii and iei. 
eax=00000000 ETUR -= = 503748 
eu 3164130 m 00121528 ebp- 00120349 iogl- 0 

= SF Sss=000U 


= edi-U00000 
nv up ei pl zr na pe nc 
SEI-UDUIUZI6 


-UU = 
51684130 » 22? 


0:000» | 


tno col0 Sys0:<Local> Proc 000:e64 Thrd 000:6d4 APS NUM 


图 4 内 存 地 址 监视 


DS 


如 图 4 所 示 ， 在 执行 的 过 程 中 挂 载 调试 器 ， 监 视 EIP 等 寄 
存 器 内 容 的 变化 ， 通 过 代码 3 所 示 模 块 实现 对 服务 器 程序 缓冲 
区 操作 函数 API 的 挂钩， 截取 相关 监控 程序 执行 过 
程 中 存在 地 址 跳 转 、 内 存 读 写 的 关键 函数 。 当 服务 器 程序 在 处 
理 接收 数据 的 过 程 中 违规 跳 转 到 敏感 地 址 ， 或 者 对 内 核 敏感 
或 进行 读 写 操作 时 ， 则 对 跳 转 地 址 的 内 容 或 者 计划 写 入 的 内 容 
进行 记录 ， 并 保存 对 应 时 刻 状 态 。 

重要 函数 挂 多 


2H 


— 


as pl 
ilH 3» 


T 


xi 


void H windows net api::build NetAPI hooks 
(FunctionMonitor * funcMonitor, 


S2bEExecutionState * state, 


Chi 
$4 


IRIE, F: wei 


uint64_t targetCR3) 
{ 
FunctionMonitor::CallSignal * callSignal; 
m targetCR3 - targetCR3; 
// socket 
callSignal - funcMonitor-»getCallSignal( state, 
socket vaddr, 

targetCR3); 
callSignal-»connect( sigc::mem fun( *this, 
&H windows net api: 
); 

// bind 


:socket call hook) 


callSignal - funcMonitor-»getCallSignal( state, 
bind vaddr, 
targetCR3); 
callSignal-»connect( sigc::mem fun( *this, 
&H windows net api: 


5 


// accept 


:bind call hook) 


callSignal - funcMonitor-»getCallSignal( state, 
accept vaddr, 

targetCR3); 
callSignal-»connect( sigc::mem fun( *this, 
&H windows net api: 


5 


// recv 


:accept call hook 


callSignal - funcMonitor-»getCallSignal( state, 
recv vaddr, 
targetCR3); 
callSignal-»connect( sigc::mem fun( *this, 


&H windows net api::recv call hook) 


实现 两 项 功能 ， 首 先是 判 


定数 据 的 合法 性 ， 其 


该 过 程 主要 


次 是 根据 判定 结果 决定 对 数据 的 处 理 方式 。 如 果 目 标 程序 对 该 
数据 的 处 理 过 程 会 对 系统 造成 损害 ， 或 者 直接 导致 程序 朋 误 ， 
则 将 该 数据 标记 为 恶意 代码 ， 并 提取 其 中 的 主要 部 分 为 特征 字 
段 ， 根 据 其 破坏 效果 的 不 同 加 入 到 脏 数据 对 比 模块 的 支撑 数据 
库 中 ， 更 新 对 比 策略 ， 如 果 程 序 正常 运行 ， 并 得 到 了 正常 的 输 


出 结果 ， 则 将 该 
下 正常 提供 服务 的 服务 器 上 。 通 


数据 从 系统 输出 接口 输出 ， 并 发 送 到 本 地 环境 


过 实验 证 明 ， 该 动态 技术 能 够 


提高 恶意 代码 检测 的 成 功率 ， 对 一 些 利用 未 知 漏洞 或 者 采取 新 
攻击 手段 的 恶意 代码 能 够 实现 成 功 过 滤 。 
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的 合法 性 实现 判定 。 


3 ”系统 架构 
本 文 提 出 的 基于 网 络 数据 检测 的 网 络 程序 防御 系统 ^ 实验 与 分 析 
(network-data detecting defense) 主要 分 为 四 个 基本 模块 ， 即 流 为 达到 模拟 实际 环境 的 效果 ， 本 文 搭建 了 如 图 6 所 示 的 仿 
量 监控 模块 (flow monitoring module )、 数 据 处 理 模 块 (data 真实 验 环境 。 数 据 到 达 本 地 防火 墙 后 ， 可 通过 路 径 I 或 工 进 入 
processing module )、 脏 数据 比 对 模块 (dirty data comparison 内 网 。 
module) 和 动态 自动 化 检测 模块 (dynamic automatic detection 
module)。 图 5 所 示 为 该 系统 原型 架构 。 


BA 0 QU 


数据 


Internet 


2 > i AR 及 EA Ha A oe 
L i dd dd NA 防御 服务 器 正常 服务 器 
数据 信息 整理 、 重 组 


待 测 
~ 脏 数 据 比 对 模块 一 于 一动 态 测试 模块 


算法 比 对 EN M 该 实验 环境 由 内 、 外 网 两 部 分 构成 ,通过 防火 墙 实现 隔离 。 
RENEM | 表 2 所 示 为 各 个 主机 与 服务 器 节点 相关 属性 。 其 中 外 网 主机 A 
黑 名 单数 据 库 安装 Ubuntu 14.04 操作 系统 ， 拥 有 独立 公 网 IP 地 址 , 通过 互联 
网 连接 到 本 地 网 域 ; 本 地 内 网 台 安装 Ubuntu Server 操作 系 


图 5 系统 原型 架构 


统 的 服务 器 和 三 台 用 户主 机 组 成 ， 该 内 网 对 外 共用 一 个 独立 公 


该 系统 的 运行 建立 在 互联 网 基本 架构 的 基础 上 ， 网 络 中 客 网 IP 地址 。 
户 端 主机 发 送 的 数据 通过 底层 物理 链 路 以 二 进 制 数 据 流 的 形式 表 2 ”实验 环境 配置 信息 
传输 到 达 本 地 ， 链 路 层 协议 软件 将 其 还 原 为 高 层 协议 数据 包 区 域 p" 节点 属性 
提交 给 本 地 的 网 络 程序 防御 系统 。 本 地 防御 系统 的 网 络 接口 端 外 网 主机 A Ubuntu 14.04 
接收 到 的 是 底层 提交 的 数据 包 ， 而 输出 接口 端 输出 的 是 经 过 完 防火 墙 McAfee 14.0.9042 
整 检 测 流程 的 合法 数据 内 容 。 在 正常 的 数据 包 逐 层 解析 的 基础 主机 @ Windows 7 
E, 该 系统 实现 了 对 有 效 数据 载荷 的 提取 和 检测 功能 .系统 的 数 主机 @ Windows 7 
据 检测 过 程 主要 分 为 以 下 三 步 : 内 网 主机 @ Windows 7 

引流 量 数据 提取 。 系统 通过 网 络 监听 的 方式 抓 取 数据 流量 ， N-A 防御 服务 器 Ubuntu Server 
该 过 程 基于 wireshark 软件 的 早期 开源 代码 实现 。 表 1 所 示 为 正常 服务 器 Ubuntu Servet 
系统 在 本 地 仿真 实验 环境 下 的 一 次 预 设 信 息 。 通 过 流量 监控 模 
块 和 数据 处 理 模 块 的 配合 ， 对 通信 数据 中 符合 预 设 要 求 的 网 络 内 网 服务 器 搭载 了 两 款 存在 典型 漏洞 的 服务 器 软件 ， 软 件 
数据 包 实现 监听 和 提取 ， 按 照 数 据 类 别 和 到 达 顺 序 将 处 理 后 的 版 本 及 漏洞 类 型 如 表 3 所 示 。 外 网 主机 A 模拟 恶意 攻击 者 ， 对 
数据 信息 保存 到 指定 路 径 的 txt 文件 中 。 内 网 提供 正常 服务 的 服务 器 发 送 恶 意 代 码 , 按照 破坏 效果 划分 ， 

表 1 流量 监控 模块 配置 信息 恶意 代码 能 造成 两 款 服 务 器 端 软件 的 骨 溃 ， 或 者 能 实现 对 服务 
项 目 名 实际 参数 器 指定 内 存 的 非法 读 写 操作 。 
The ID of analyzing files 12 表 3 目标 测试 程序 及 漏洞 信息 
The source IP 192.168.122.3 软件 名 称 ” 版 本 号 。 存在 漏洞 编号 漏洞 类 型 ”系统 类 型 
The source port 80 格式 化 字符 串 Windows 
Tftp32 3.51.0.0 | CVE-2013-6809 
The Destination Port 80 漏洞 Server 
Windows 

D) 数 据 静态 检测 。 数 据 对 比 环节 主要 由 及 数据 (bad data? HttpDX ”1.0.le  OSVDB-ID-84454 Eit T" 
XT FEER ER AIAH SLE) Sc T5 AHE Hg 2ELBX, o T8 18 RAA ELIT ECOSE TE, 
将 提取 到 的 流量 数据 和 本 地 黑 名 单数 据 库 中 的 数据 进行 比 对 ， 针对 两 种 漏洞 分 别 准 备 了 300 种 恶意 代码 C100 种 溢出 、 
实现 攻击 流量 的 初步 筛选 和 验证 。 100 种 内 存 读 取 、100 种 内 存 覆 盖 )。 外 网 主机 A 作为 恶意 攻击 

c) 动 态 运行 测试 。 针 对 无 法 确定 的 流量 进行 运行 验证 ， 通 者 ， 通 过 正常 数据 通信 的 方式 向 目标 服务 器 发 起 请 求 ， 并 将 恶 
过 动态 运行 测试 的 方式 检验 流量 数据 的 实际 运行 效果 ， 对 数据 意 代 码 夹杂 在 正常 服务 请 求 的 中 间 发 送 到 目标 服务 器 。 实 验 采 
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用 连续 发 送 的 方式 ， 将 600 种 恶意 代码 分 割 后 ， 
数据 通信 中 发 送 到 目标 服务 器 。 

a) 仅 采取 防火 墙 

数据 发 送 到 目标 网 络 防火 墙 之 后 ， 通 过 线路 I 发 送 到 目标 
服务 器 。 破 坏 效果 实现 如 图 7 所 示 。 可 以 看 出 ， 单 纯 防 火 墙 策 
略 并 未 实现 恶意 代码 过 滤 , 从 而 导致 了 目标 服务 器 软件 的 毅 省 ; 


通过 内 存 地 址 可 以 看 到 ， 对 于 恶意 代码 同样 能 够 写 入 内 存 相应 
地 址 。 


隐藏 在 了 


ak 
还 


acdax i 


-Jtest/seh 


S '/home/acdax/Desktop/pingme dir/pingme" 
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图 7 破坏 效果 实现 
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8 所 示 为 防火 墙 策略 下 ， 针 对 两 种 网 络 程序 的 恶意 代码 
攻击 防御 效果 。 可 以 看 出 ， 单 纯 防 火 墙 策略 的 防御 效果 较 弱 ， 

寺 别 是 在 恶意 代码 的 特征 码 未 更 新 到 防火 墙 策略 库 时 ， 针 对 两 
款 软件 漏洞 的 防御 率 仅 能 达到 9.67% 和 13.3496. 


uEIT SNR 
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图 8 实验 防御 效果 统计 


b) 采 取 “ 防 火 墙 十 N-A 防御 服务 器 ”的 策略 

根据 破坏 效果 的 不 同 ， 防 御 系 统 会 将 验证 到 的 恶意 代码 保 
存 到 N-A 防御 服务 器 中 磁盘 的 对 应 路 径 下 。 图 9 所 示 为 实验 过 
程 中 crash 目录 下 生成 的 保存 能 够 导致 服务 器 程序 崩溃 的 恶意 
代码 内 容 。 


1 DCBAaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa， 


aaaaaaaaaaauvwx 


图 9 EX RED CIS CR 


同时 , 防御 系统 还 会 向 系统 管 
示 是 实验 中 产生 的 一 条 针对 Tftp32 的 恶 


理 员 发 送 简易 报告 。 图 10 所 
意 代码 的 报告 示意 图 。 


2 发 现 方式 : 动态 运行 检测 
3 运行 效果 : crash 
4 数据 内 容 : 


5 DCBAaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa， 


\00\00\00\00\00\00\00\00\00\00\00\00aaaaaaaaaaaauvwx" VBo[]]] | 


图 10 防御 报告 
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邓 兆 现 ， 等 : 动静 

图 11 所 示 为 “防火 墙 十 N-A 防御 服务 器 ”策略 下 ， 针 对 两 
种 网 络 程 序 的 恶意 代码 攻击 防御 效果 。 可 以 看 出 ， 单 纯 防火 墙 
策略 的 防御 效果 较 弱 ， 特 别 是 在 恶意 代码 的 特征 码 未 更 新 到 防 
火 墙 策略 库 时 , 针对 两 款 软 件 漏洞 的 防御 率 仅 能 达到 97.78% 和 
98.096. 
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图 11 实验 防御 效果 统计 


实验 证 明 ， 如 果 不 通过 N-A 防御 服务 器 的 检测 ， 单 纯 采 用 
防火 墙 检测 ， 则 检测 成 功率 较 低 ， 防 御 效果 较 差 ,而 采用 “防火 
墙 + 检 测 系统 ”的 检测 策略 ， 则 分 别 实现 了 97.78% (HttpDX) 
和 98.0% CTftp325. 的 恶意 代码 的 拦截 成 功率 。 


5 Wi 


本 文 提出 了 一 种 动静 结合 的 网 络 数据 检测 技术 ， 并 在 该 技 
术 思 想 的 基础 上 实现 了 一 套 网 络 数据 检测 系统 。 bin 
证 明 ， 该 系统 在 运行 过 程 中 通过 静态 分 析 检 测 和 动态 ; 
相 结合 的 方式 ， 提 高 了 恶意 代码 检测 的 成 功率 ， 特 别 是 提高 
对 一 些 利 用 未 知 漏洞 的 恶意 代码 实现 防御 的 成 功率 。 该 系统 在 


D) 


静态 检测 过 程 第 二 阶段 的 数据 检测 算法 还 有 改进 空间 ， 在 检测 
过 程 中 需要 大 量 的 存储 空间 记录 信息 存在 一 定 见 余 。 下 一 步 将 
针对 该 问题 寻找 更 加 可 靠 和 空间 占用 小 的 算法 。 
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